金融行业

金融行业DevSecOps敏捷安全落地实践

业务需求

在金融行业,数量居高不下的安全漏洞,导致企业数据中心被入侵、数据库信息泄露、用户账号密码被窃取、客户资金受到严重威胁。与此同时,近年来网络安全相关的法律法规、监管要求密集出台,相关要求越来越多,也越来越高。金融行业作为强监管行业,是涉及业务敏感数据极多的行业,是高度依赖信息化的行业,也是网络安全风险形势极为严峻的行业,合法合规自然成为金融机构的又一项重要工作。

解决方案

技术架构
通过智能编排技术,将基于应用自免疫技术和深度学习算法的安全测试工具柔和、无缝嵌入自身DevOps开发流程中,逐步构建起端到端的安全工具链模型,涵盖灵脉SAST白盒安全测试平台、源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、夫子ASOC敏捷安全赋能平台,在数字应用开发过程中,自动化地进行代码缺陷扫描、开源风险治理、漏洞风险发现,同时通过在实际项目中针对安全需求覆盖度、代码质量、系统漏洞数、漏洞修复率、漏洞修复时间等多个指标进行实现安全开发的效果度量,从而有效管控开发安全风险,实现安全左移。

成果效益

在现有开发方式上,基于敏捷安全工具链逐步构筑起DevSecOps体系,通过智能单探针插桩实现一体化、一站式工具链落地,在开发源头修复数字应用95%以上的中高危漏洞,建立应用风险的闭环管理流程,整体风险消减率达60%,防止应用带“病”上线,大幅降低了漏洞修复成本,同时确保满足金融行业相关合规性要求。

荣誉认可

悬镜安全联合中信建投共同申报的“安全开发体系建设项目”,成功入选金融领域“信创十条—首方案”2023-2024行业标杆示范项目

北京市经济和信息化局信息化与软件服务业处处长尤靖正式公布《北京市关于加快打造信息技术应用创新产业高地的若干政策措施》行业标杆示范“首方案”,悬镜安全“安全开发体系建设项目”成功获评“信创十 条—首方案”2023-2024行业标杆示范项目。 其建设项目全面符合行业重要性、场景典型性、方案示范性、方案首认定、产品性能、业务支撑程度的要求。
扫描二维码
阅读获奖案例详细方案